Utilisation de l’IA en entreprise : la nécessaire mise à jour de la charte informatique

 

 Ce qu’il faut retenir

L’utilisation de l’IA en entreprise se répand à grande vitesse. Pour éviter que cette utilisation se fasse à l’insu des employeurs, et limiter les risques, il convient d’aborder le sujet par la nécessaire mise à jour de la charte informatique de l’entreprise, accompagnée d’une formation adaptée des salariés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-utilisation-de-l-ia-en-entreprise-la-necessaire-mise-a-jour-de-la-charte-informatique

Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Droits d’utilisation des logiciels : de la nécessaire gestion des licences au sein de l’entreprise

Les modes d’utilisation des logiciels se sont multipliés, que ce soient les logiciels installés (dans l’entreprise ou sur des machines identifiées), ou une utilisation via des serveurs virtuels, en Cloud, avec un PC classique, ou depuis des appareils mobiles (tablettes, voire smartphones).

Une étude récente sur les audits menés par les éditeurs de logiciels, conduite par la société de conseil IDC auprès de 1398 entreprises, indique que les éditeurs de logiciels n’hésitent plus à auditer les entreprises utilisatrices afin de contrôler la conformité de l’utilisation de leurs logiciels aux licences conclues. En cas de non-respect des conditions de licence, les éditeurs réclament le règlement des surplus de redevances, éventuellement augmentés de pénalités. Les sommes réclamées peuvent aller de quelques milliers à plusieurs millions d’euros. (1)

Même si la multiplication des modes d’utilisation rend le suivi des licences particulièrement difficile à gérer pour l’entreprise et la DSI, cette question est primordiale dans le cadre d’une bonne gouvernance juridique et financière de l’entreprise.


1. Contrat de licence, droits d’utilisation du logiciel et gestion des licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. L’auteur (l’éditeur du logiciel) dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de calcul des redevances. (2) Ainsi, bien qu’en droit français, il n’existe aucune disposition spécifique dans le code de la propriété intellectuelle concernant la licence d’utilisation de logiciel, l’utilisation d’un logiciel propriétaire est soumise à l’autorisation du titulaire des droits sur ce logiciel. (3)

Les droits accordés aux utilisateurs sont décrits dans le contrat de licence. Les tribunaux ont reconnu la validité des différentes formes de licences, du format papier classique aux contrats d’adhésion comme les licences dites “shrink-wrap” pour les logiciels emballés, ou les licences “click-thru” pour les logiciels téléchargeables.

Les droits accordés diffèrent suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés, un volume d’utilisation, etc. Les limitations peuvent également être géographiques : limitation par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

De même, le calcul des redevances d’utilisation diffère selon les éditeurs et les modes d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives en fonction des montées de version du logiciel, etc.

Comme mentionné plus haut, la multiplication des modes d’utilisation des logiciels dans l’entreprise rend le suivi et la gestion des licences - donc des droits accordés par l’éditeur - de plus en plus difficile à gérer pour les équipes IT. Même si les outils de gestion de licence (ou software license optimization tools) sont de plus en plus déployés, il ressort de l’étude IDC précitée que la majorité des entreprises utiliseraient plusieurs méthodes de suivi des licences, y compris le suivi manuel (via des tableurs). Cependant, de nombreuses entreprises n’ont toujours aucune méthode de suivi de conformité des logiciels utilisés par rapport à leurs contrats de licence.

Or, en sus de se mettre en situation de manquement à leurs obligations contractuelles, les entreprises fautives courent plusieurs risques.

Outre le risque financier (paiement des redevances supplémentaires, éventuellement augmentées de pénalités), l’éditeur peut décider de résilier la licence d’utilisation pour violation des obligations contractuelles, voire même poursuivre l’entreprise contrevenante pour contrefaçon de ses droits de propriété intellectuelle. 

La résiliation du contrat de licence peut être extrêmement pénalisante pour l’entreprise dont une partie de l’activité reposerait sur l’utilisation du logiciel en cause, l’obligeant à identifier un logiciel équivalent sur le marché et à transférer les données traitées vers le nouvel outil, souvent dans des délais très brefs.

Par ailleurs, les poursuites judiciaires qui seraient intentées par l’éditeur contre l’entreprise contrevenante nécessiteront la mobilisation de personnels internes et de consultants externes (avocats, experts, etc.), entraînant des coûts importants pour celle-ci.


2. Les clauses d’audit et le contrôle de conformité aux licences logiciel

La licence étant de nature contractuelle, le non-respect - volontaire ou non - des conditions d’utilisation du logiciel met l’entreprise utilisatrice en situation de manquement à ses obligations contractuelles.

Nombre d’éditeurs incluent dans leur contrat de licence une clause d’audit de conformité. Cette clause d’audit leur donne la possibilité de contrôler les conditions d’utilisation du logiciel et la conformité de cette utilisation aux clauses contractuelles. L’entreprise utilisatrice s’engage généralement à tenir un journal de suivi des licences devant correspondre aux droits accordés par la licence.

Lors d’un audit, en cas d’écarts constatés entre les droits accordés et l’utilisation réelle par l’entreprise auditée, un rapport d’audit est établi. L’entreprise est alors sommée de régler les redevances supplémentaires correspondant à l’utilisation effective du logiciel, parfois accompagnées de pénalités pour utilisation abusive et non autorisée du logiciel, et/ou facturation des frais d’audit à la société.

Même si ces clauses peuvent être rédigées en termes très généraux, elles peuvent également prévoir de limiter le nombre d’audits sur une période donnée (un audit au maximum par périodes de 12 mois par exemple) et prévoir qu’en cas de dépassement des droits inférieur à un pourcentage donné (5 ou 10% par exemple), la société ne sera pas tenue de régler les redevances supplémentaires.

Les clauses d’audit de conformité sont de plus en plus présentes dans les contrats de licence. Ces clauses font souvent l’objet de négociations sur les conditions d’audit, l’application de pénalités en cas de dépassement des droits d’utilisation et la durée pendant laquelle l’audit pourra être conduit après la résiliation ou l’expiration du contrat de licence.


Les éditeurs tendent à utiliser de plus en plus leur faculté d’audit pour contrôler la conformité de l’utilisation de leurs logiciels aux droits conférés par la licence. Malgré la complexité du suivi des licences dans l’entreprise, il est indispensable de mettre en place des méthodes rigoureuses de gestion des licences logicielles. Les entreprises utilisatrices doivent être vigilantes non seulement sur le suivi des licences, mais également sur les évolutions de leur activité, telles que l’ouverture de nouveaux établissements, la création de filiales, en France ou à l’étranger, le passage au Cloud, toutes ces évolutions ayant un impact sur les licences.

En parallèle, il est fortement recommandé de mettre en place une charte informatique dans l’entreprise, et ce quelle que soit sa taille. Cette charte, véritable outil pédagogique pour les salariés, mais aussi disciplinaire, devra notamment préciser les conditions d’utilisation des équipements, et des logiciels, mis à la disposition des collaborateurs de l’entreprise, la possibilité ou l’interdiction de télécharger des logiciels pour une utilisation dans le cadre de leur activité professionnelle, éventuellement les conditions d’utilisation de leurs propres outils informatiques dans un cadre professionnel (BYOD). Ce document devra être revu et mis à jour régulièrement afin de suivre les évolutions des technologies et des usages.

                                                          * * * * * * * * * * *

(1) Voir le rapport intitulé 2013-14 Key trends in software pricing and licensing survey: software license audits: costs & risks to enterprises, commandité par Flexera Software

(2) Article L.112-2 du Code de la propriété intellectuelle. Par ailleurs, la licence d'utilisation d'un logiciel n'est pas définie, dans le Code de la propriété intellectuelle, contrairement aux règles de cession des droits de propriété intellectuelle qui suivent les dispositions de l’article L.131-3 du Code de la propriété intellectuelle.

(3) L’arrêt de la CJUE C-128/11 UsedSoft GmbH / Oracle International Corp du 3 juillet 2012 ne remet pas en question la notion de limitations aux droits d’utilisation du logiciel. Ainsi, un logiciel qui aurait été “revendu” par un premier utilisateur “légitime” i) ne pourra plus être utilisé par ce premier utilisateur et ii) ne pourra être utilisé par l’acquéreur que dans les limites autorisées par l’éditeur (limites en nombre de postes, limites géographiques, etc.).

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2014

Pour ou contre la pratique du BYOD : quelques réponses juridiques

La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html


Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

Données de santé : des obligations de sécurité spécifiques pour les professionnels de la santé

Les données de santé sont considérées comme des informations sensibles, et à ce titre, sont soumises à un haut niveau de sécurité, physique et technique. Toutefois, les médias rapportent régulièrement l'existence de fuites de données de patients, par des centres hospitaliers ou des laboratoires d'analyses médicales, retrouvées sur la Toile. (1)

Les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients, le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne déchargeant pas les professionnels des obligations, comme vient de le rappeler la CNIL.


1. Les obligations de sécurité et de confidentialité des données des patients pesant sur les professionnels de santé

Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles. Le traitement de ces données, notamment leur collecte, utilisation, communication, stockage, destruction, est soumis à des conditions particulières définies dans la loi Informatique et Libertés (art. 8, 34 et 35) et le Code de la santé publique.

Les professionnels et établissements de santé sont tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données constitue un impératif.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en oeuvre :

    - des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en oeuvre d'une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et

    - des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l'accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l'utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d'établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel.

L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du code pénal). La violation du secret médical est punie d'un an d'emprisonnement et 15.000€ d'amende.


2. Les obligations de sécurité et de confidentialité des données de santé en cas d'externalisation

L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance  -  Le professionnel ou l'établissement de santé peut décider d'externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L'hébergement de données de santé par un tiers  -  En cas d’hébergement par un tiers, le professionnel ou l'établissement de santé devra s'assurer que le prestataire met en oeuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d'hébergement fait l'objet d'un contrat avec le professionnel ou l'établissement de santé, détaillant notamment les prestations fournies et les modalités d'accès aux données.


3. Le rappel des conditions de la protection des données de santé par la CNIL

Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données. Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

En l'espèce, suite à un contrôle réalisé au sein du centre hospitalier, la CNIL a constaté qu’un des prestataires avait accédé, avec l’accord de l’établissement, aux dossiers médicaux de plusieurs centaines de patients, en méconnaissance totale des dispositions du Code de la santé publique et de la loi Informatique et Libertés relatives au respect de la vie privée des patients et à la sécurité de leurs données.

Le sous-traitant avait été mandaté par le centre hospitalier pour une mission de codage des actes médicaux et paramédicaux. En effet, lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont codés selon une nomenclature particulière, correspondant au code de remboursement par l'assurance maladie.

Le Code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Ces analyses sont généralement sous-traitées par les établissements de santé à des sociétés privées.

Or, la loi soumet le traitement de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention, à l'obtention d'une autorisation. La CNIL veille ainsi, par le biais de contrôles sur place, dans les établissements de santé, à ce que ces traitements ne portent pas sur les données nominatives des malades.

La mise en demeure prononcée par la CNIL a imposé au centre hospitalier de prendre des mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge et de veiller à ce que ces dossiers ne puissent pas être accessibles aux tiers. En outre, l'établissement de santé devait justifier du respect de cette injonction auprès de la CNIL sous 10 jours.

Dans un communiqué du 17 octobre 2013, la CNIL a annoncé que le centre hospitalier s’était mis en conformité suite à la mise en demeure en mettant en oeuvre plusieurs mesures telles que la suppression de l’accès, par le sous-traitant, aux dossiers médicaux des patients, qui demeurent  désormais sous la seule autorité du médecin responsable de l'information médicale de l'établissement, et la formalisation d’une politique stricte de sécurité des systèmes d’information. (2)

Compte tenu de cette mise en conformité, la CNIL a décidé de clôturer la procédure à l’encontre du centre hospitalier de Saint-Malo.

                                                       * * * * * * * * * *

(1) Voir notamment les articles intitulés "Des centaines de résultats d'analyses médicales accessibles sur internet", publié sur www.rue89.com, le 10 janvier 2012 et "Fuite de données concernant une quarantaine de centres hospitaliers français", publié sur http://www.datasecuritybreach.fr/, le 31 octobre 2013.

(2) Délibération CNIL n°2013-037 du 25 septembre 2013 mettant en demeure le centre hospitalier de Saint-Malo, et Communiqué CNIL intitulé "Clôture de la mise en demeure adoptée à l’encontre du centre hospitalier de Saint-Malo" du 17 octobre 2013.


Bénédicte Deleporte - Avocat
Betty Sfez - Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Novembre 2013

La protection du patrimoine informationnel de l’entreprise : un tour d’horizon

Une entreprise produit et collecte une multitude d'informations et de données de nature commerciale, industrielle, technique, comptable, scientifique, etc. Selon le secteur d'activité de l'entreprise, une partie de ces informations peut être considérée comme stratégique et sensible, constitutive du savoir-faire spécifique à l’entreprise. Ces informations ont donc une valeur patrimoniale considérable.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé par l’entreprise conditionne sa pérennité. Toutes les entreprises, quels que soient leur taille ou leur secteur d’activité, sont concernées.

Plusieurs affaires d’espionnage industriel ont été rapportées dans les médias ces dernières années. Parmi celles-ci, on rappellera l’affaire Renault en 2011 où trois cadres auraient divulgué des informations sensibles à l’extérieur de l’entreprise, l’affaire Motorola en 2010 où un ex-employé aurait informé un équipementier télécom chinois pendant plusieurs années, en 2007, une ex-employée de Coca-Cola reconnue coupable d’avoir tenté de vendre des secrets commerciaux à son concurrent Pepsi, ou encore l’affaire Valéo en 2005 dans laquelle une stagiaire chinoise avait téléchargé et transféré à l’étranger des données confidentielles de l’entreprise.

Notre article a pour objet de faire un tour d’horizon des comportements à risque, pouvant résulter dans des fuites, des pertes, des divulgations ou des vols de données confidentielles, et des bonnes pratiques à déployer pour sensibiliser les salariés à la sécurité de l’information.


1. Les comportements à risque et leurs conséquences

Il existe toute une panoplie de comportements à risque pouvant aboutir à des divulgations d’informations confidentielles de l’entreprise. Ces comportements proviennent de personnes internes ou externes à l’entreprise : salariés, ex-salariés, stagiaires, consultants, partenaires commerciaux ou tiers.


    1.1 Les principaux types de comportements à risque

        1.1.1 Le comportement des salariés
La divulgation d'informations stratégiques de l’entreprise est souvent due à la négligence des salariés, plus rarement à une fraude d'un salarié ou ancien salarié. Les quelques exemples ci-après illustrent ces comportements, issus de l’environnement et des comportements quotidiens au travail :

    - L’ordinateur professionnel laissé sans surveillance, ou non verrouillé en l’absence de son utilisateur. Un ordinateur portable non attaché par un câble anti-vol et/ou laissé sans surveillance, dans l’entreprise ou lors d’interventions à l’extérieur de l’entreprise peut être très facilement subtilisé. Un ordinateur dont l’écran n’est pas verrouillé après quelques minutes de veille permet à toute personne d’accéder aux données sans manoeuvre particulière ;

    - La divulgation par des salariés d’informations confidentielles sur un blog et/ou via les réseaux sociaux : les salariés doivent être très vigilants concernant les informations publiées sur internet relatives à leurs activités professionnelles, telles que projets en cours de développement, négociations commerciales, rupture de contrats, situation financière de l’entreprise avant la publication des comptes, etc. ;

    - Le défaut de sécurité du système d'information, non protégé par un système anti-virus à jour ou dont les mots de passe ne sont pas assez robustes ou non changés régulièrement ;

    - Le piratage informatique par un salarié ou un ex-salarié qui s’introduit dans le système informatique de l’entreprise pour détruire ou détourner des données, alors que les accès au STAD (identifiant et mot de passe) ne sont pas modifiés régulièrement.

        1.1.2 Le comportement des stagiaires
Les stagiaires, notamment les jeunes issus de grandes écoles de commerce ou d’ingénieur, sont souvent amenés à travailler sur des projets innovants et pointus pendant leur stage en entreprise. Ces projets sont évidemment confidentiels, et doivent rester très encadrés par l’entreprise.

    - La diffusion et la mise en ligne de rapports de stage sur internet : certains étudiants diffusent leur rapport de stage au-delà de leur professeur, notamment en les mettant en ligne sur des sites web spécialisés. On peut ainsi trouver sur ces sites des rapports contenant des informations économiques ou technologiques sensibles. Il est donc recommandé de valider les rapports de stages pour notamment limiter leur diffusion ou demander que les informations confidentielles soient supprimées avant mise en ligne.

    1.2 L’espionnage industriel

Les manoeuvres, que l’on peut globalement qualifier d’espionnage industriel, peuvent provenir de partenaires commerciaux, français ou étrangers, voire de tiers avec lesquels l’entreprise n’a pas de contacts directs.

        1.2.1 Le comportement de partenaires commerciaux
    - La clé USB infectée par un programme malveillant : le fait de connecter une clé USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut résulter en la propagation d’un virus, ou d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

    - Le faux contrôle de sécurité de l'ordinateur portable : le cadre d’une société française, en déplacement chez un partenaire commercial à l’étranger a dû remettre son ordinateur au service de sécurité de l’entreprise partenaire pour un “contrôle de sécurité”. Le “contrôle” avait pour objet réel d’aspirer les données stockées sur cet ordinateur.

        1.2.2 Les tiers à l’entreprise
    - L’accès aux locaux sous couvert de maintenance informatique ou l’audit imprévu : des tiers à l’entreprise peuvent être admis dans les locaux pour des motifs apparemment “légitimes”. Ce type de personne a généralement quelques informations sur les prestataires tiers de la société et arrivent à convaincre les personnes de l’accueil qu’elles sont appelées dans le cadre d’une mission précise, telle que la maintenance informatique ou un audit administratif ou contractuel par exemple. Les procédures d’accès dans les locaux doivent donc être strictement contrôlées, notamment par une vérification d’identité et la confirmation de la mission par un responsable de l’entreprise ;

    - Le nouveau salarié (ou intérimaire) “infiltré” : des tiers peuvent se faire embaucher en vue d’avoir accès à des informations confidentielles de l’entreprise, pour les communiquer à un concurrent, puis discrètement quitter l’entreprise avant la fin de la période d’essai.

    1.3 Les risques et les conséquences pour l’entreprise

Tous ces exemples, tirés de faits réels ayant fait l’objet d’enquêtes en France et à l’étranger, et dans certains cas ayant abouti à des sanctions pénales, créent un grave préjudice pour l’entreprise, en termes économiques et d’image de marque.

Les risques et conséquences de ces divers comportements sont la divulgation, intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques, français ou étrangers. Les conséquences peuvent être substantielles pour l’entreprise et résulter en perte de données ou de documents, mise hors service des ressources informatiques en cas de propagation de virus par exemple, atteinte à l'image de marque de la société ou à sa e-réputation, perte de chiffre d’affaires, perte de marchés, mise en cause de la responsabilité de l'entreprise pour atteinte à la sécurité de son système informatique avec perte de données personnelles, etc.

En conséquence, il est essentiel de mettre en oeuvre une politique interne de sensibilisation des salariés à la richesse informationnelle de l’entreprise, à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.


2. Les bonnes pratiques visant à protéger la richesse informationnelle de l'entreprise

Ces bonnes pratiques s’articulent autour de deux axes complémentaires : la mise en place d’une politique de sensibilisation des salariés et l’utilisation des outils juridiques appropriés.

    2.1 La mise en place d'une politique de sensibilisation à la sécurité économique et informatique

Cette politique de sensibilisation à la sécurité s’articule en plusieurs points :

    - La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité), entérinée et sponsorisée par la direction de l’entreprise ;

    - L’identification des données et documents à protéger, par catégorie d’information, par département (finance, marketing, commercial, juridique, etc.), la durée de leur protection et les règles d’archivage physiques et dématérialisé ;

    - Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;

    - La sécurisation du système informatique de l’entreprise avec, en parallèle, le déploiement de la politique de sécurité informatique ;

    - La sécurisation des locaux, notamment par un contrôle des accès aux locaux de l’entreprise, la gestion des badges d’accès par catégories de personnes (employés, intérimaires, consultants, visiteurs, etc.) ;

    - La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultants, l’accompagnement des visiteurs, etc.

    - La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux publics et les transports, en définissant des règles de conduite relatives à l’utilisation des équipements, aux réunions de travail dans des lieux ouverts au public ou dans les transports (train, avion) ;

    - La veille internet afin de détecter des fuites d’information et de surveiller l’e-réputation de l’entreprise.

Cette politique de sécurité doit être accompagnée des “outils” juridiques qui permettront de protéger cette information.

    2.2 Les outils juridiques permettant de protéger le patrimoine informationnel de l'entreprise

Le droit sert d’outil indispensable dans un but de protection de l'information de l'entreprise.

        2.2.1 La protection de la propriété intellectuelle
Bien que les idées, méthodes, théories, concepts et informations brutes ne soient pas des oeuvres protégeables par le droit de la propriété intellectuelle, il n’en est pas de même des créations ou oeuvres de l’esprit. Les marques, dessins et modèles, et brevets sont protégés par le droit de la propriété intellectuelle et industrielle. Les noms de domaine sont protégés pendant une durée d’un à 3 ans renouvelable.

Toute utilisation non autorisée d’une marque enregistrée, d’un modèle déposé ou d’un brevet est constitutive d’une contrefaçon, sanctionnée pénalement.

Il est recommandé de surveiller les marques de l’entreprise et celles des concurrents, en mettant en place une surveillance via un conseil en propriété industrielle par exemple, et en élaborant une politique de marque cohérente répondant à l'image de la société, ses produits et services.

En cas de contrefaçon, concurrence déloyale, plagiat ou parasitisme, il ne faut pas hésiter à réagir en préservant les moyens de preuve (constat d’huissier), puis si l’action est justifiée, en lançant des poursuites judiciaires à l’encontre des contrefacteurs ou du concurrent “indélicat”.

        2.2.2 La protection du savoir-faire
La protection du savoir-faire passe dans un premier temps par la mise en place des bons outils et techniques contractuels, afin de faciliter les moyens de défense en cas de violation de ses engagements par l’autre partie.

    - L’accord de confidentialité et la clause de confidentialité dans les contrats commerciaux : les futurs partenaires ont intérêt d'organiser contractuellement, dès le stade des pourparlers, le respect de la confidentialité des informations échangées. Dans un contrat commercial, la clause de confidentialité met à la charge de son débiteur, ou des deux parties, une obligation de secret concernant des informations communiquées (techniques, commerciales, financières) pendant la durée du contrat, voire le silence sur l'existence de négociations ou d'une relation contractuelle. Cette clause permet d'ériger automatiquement en faute la divulgation d'une information. Même s'il est souvent difficile de rapporter la preuve de la violation de l'obligation de confidentialité, cette clause a le mérite de la dissuasion ;

    - La clause de non-concurrence prive le co-contractant de la faculté d'exercer une activité professionnelle susceptible de concurrencer celle de l'autre, pendant la durée des relations contractuelles, et éventuellement après leur expiration, sur un territoire déterminé ;

    - La clause de non-sollicitation de personnel, par laquelle deux entreprises s'interdisent réciproquement de débaucher tout ou partie de leurs collaborateurs, a pour objet d'éviter le débauchage massif de collaborateurs aux compétences spécifiques.

        2.2.3 La protection des données numériques : la charte informatique
La charte informatique (ou charte technologique) est un document interne à l’entreprise, dont la finalité première est de préciser les règles applicables à l’utilisation des équipements et logiciels mis à la disposition des salariés, afin d’assurer la bonne gestion des ressources et la sécurité des réseaux et données de l’entreprise.

La mise en place d’une charte technologique au sein de l’entreprise a un double objectif : i) la nécessaire information des salariés sur les utilisations autorisées des technologies, et ii) les sanctions éventuellement applicables en cas de non-respect de ces règles, le tout dans un souci de bonne gestion des ressources et de sensibilisation des salariés à la sécurité des réseaux et des données de l’entreprise.

Pour être et rester efficace, la charte informatique doit être revue et mise à jour régulièrement afin de suivre les évolutions technologiques et les usages.

Il est recommandé de l’annexer au règlement intérieur de l’entreprise (dans le respect des dispositions du droit social) afin de la rendre opposable aux salariés, ainsi qu’aux intérimaires et consultants pendant la durée de leur mission dans l’entreprise.


La protection du patrimoine informationnel est l’affaire de tous dans l’entreprise et la sensibilisation des salariés aux enjeux de la maîtrise de l’information passe par la mise en oeuvre de bonnes pratiques reposant sur les deux axes de la politique de sensibilisation et des outils juridiques appropriés.

Il convient enfin de mentionner la proposition de loi sur la protection des informations économiques, discutée en première lecture à l’Assemblée Nationale le 23 janvier 2012. Ce texte a pour objet d’instaurer un nouveau délit d'atteinte au secret des affaires. La divulgation d'informations de nature commerciale, industrielle, financière, scientifique, technique ou stratégique, compromettant gravement les intérêts d'une entreprise (atteintes à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle) serait ainsi punie de 3 ans d'emprisonnement et 375.000€ d'amende. (1)

L’objectif est de construire une protection juridique efficace pour l’ensemble des informations et des connaissances de l’entreprise. Malheureusement, cette proposition de loi remonte à la précédente législature et n’est plus à l’ordre du jour du Parlement actuellement. On peut cependant espérer qu’elle ne restera pas lettre morte, et que l’on disposera d’un arsenal juridique spécifique dans un avenir proche, permettant de combattre les atteintes aux informations sensibles de l’entreprise de manière plus efficace.

                                                       * * * * * * * * * * *

* Article rédigé suite à une conférence donnée au Salon APS (Alarmes, Protection, Sécurité), sur la sécurité de l’information, le 26 septembre 2013.

(1) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires, n°3985, déposée le 22 novembre 2011, voir dossier législatif : http://www.senat.fr/dossier-legislatif/ppl11-284.html

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2013

Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles

Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)

Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.


1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels

L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.

Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.

La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)

Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.


2. Le principe de présomption du caractère professionnel des échanges

Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)

En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.

La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."

En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).


3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle

La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)

En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.

Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.

La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".

En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.

De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)

Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)


On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.

Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.

Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement  informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.

* * * * * * * * * *

(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France

(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.

(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866

(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138

(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649

(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884

(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2013

Les atteintes à l’e-réputation de l'entreprise : comment défendre son image de marque sur internet

Les atteintes à l'e-réputation font régulièrement la une de la presse internet. En attestent par exemple, la condamnation de sites de réservation d'hôtels et de voyages en octobre 2011 pour avoir notamment publié de faux avis de consommateurs ou, plus récemment, la révélation des pratiques de la société Orangina qui aurait trafiqué sa page Facebook avec de faux profils pour animer sa propre "fan page".(1)

Avec le développement de l’internet participatif, et la possibilité pour tous de créer, publier et partager des contenus en ligne, mais également de commenter ou recommander des sites webs, produits ou services, la gestion et la maîtrise de sa réputation numérique sont devenues une préoccupation majeure pour les entreprises et leurs dirigeants.

Comment l'entreprise peut-elle éviter "le mauvais buzz", faire face aux critiques et défendre son image de marque sur internet ? L’objet du présent article est d’apporter quelques éléments de réponse.

1. Comment anticiper les risques d’atteinte à la réputation numérique de l'entreprise ?

L'e-réputation consiste en l’image d’une personne physique, d'une entreprise ou d’une marque, telle que perçue par les internautes. Les clients, utilisateurs, concurrents et salariés d'une entreprise peuvent contribuer à faire et à défaire sa réputation ou celle d’une ligne de produits ou de services. Il est donc conseillé de mettre en oeuvre des règles de gestion, ou bonnes pratiques, de l’image de marque de l’entreprise.

    1.1 Les pratiques portant atteinte à l'e-réputation de l’entreprise et/ou de ses dirigeants

Les atteintes à l’e-réputation d’une entreprise peuvent être de deux types : d’une part, l’entreprise qui tente de manipuler son image de marque en ligne par l’intermédiaire de faux avis de consommateurs par exemple, et dont les pratiques sont divulguées, portant ainsi atteinte à la crédibilité de sa communication vis-à-vis du public, d’autre part un utilisateur ou un groupe de consommateurs insatisfaits qui décident de cibler une entreprise et ses produits en publiant des commentaires et avis négatifs, plus ou moins fondés, l’objectif étant de porter atteinte à l’image de cette entreprise et/ou de ses produits.

Les pratiques résultant en une atteinte à l’e-réputation se déclinent de plusieurs manières :

- Les faux avis de consommateurs mis en ligne par une entreprise visant à manipuler sa réputation. Cette pratique peut dans certains cas être qualifiée de pratique commerciale trompeuse ;

- Les faux avis de consommateurs mis en ligne par une entreprise concurrente, et édités par ses salariés ou des entreprises spécialisées dans la rédaction de faux commentaires ;

- Les avis négatifs de consommateurs ciblant les produits et services d'une entreprise, postés sur des forums de discussion, des blogs, etc. ;

- Le dénigrement et la diffusion de fausses informations : le dénigrement consiste à jeter publiquement le discrédit sur un concurrent en répandant des informations erronées ou malveillantes sur sa personnalité ou ses produits, services, compétences et prix, afin de détourner sa clientèle ou d’en tirer un quelconque profit ;

- La divulgation d'informations personnelles sur les clients ou dirigeants de l'entreprise pouvant porter atteinte à leur vie privée ou au droit à l'image ou la divulgation d'informations confidentielles (secret d’affaires, secret de fabrication, savoir-faire, etc.).(2) L’accès aux informations confidentielles peut, par exemple, être dû au piratage du système d'information de l'entreprise en cause ;

- La diffamation et l’injure consistent, par exemple, en l'allégation d’un fait portant atteinte à l’honneur d'un dirigeant d'entreprise ou en l'utilisation d'une expression outrageante à son encontre ;

- Les atteintes à la marque et au nom de domaine : une marque ou un logo peuvent faire l'objet d'un détournement, d'une reproduction non autorisée ou d'une imitation servile. L’atteinte peut par exemple consister en l’apposition d’un terme péjoratif, dénigrant ou insultant au nom de l’entreprise ou à l’une de ses marques (tel que arnaque, escroquerie ou boycott). Les noms de domaine peuvent également être détournés par le "cybersquatting" ou le “typosquatting” ;

- L’usurpation d'identité : l'identité d'une entreprise peut être usurpée au moyen du "phishing", consistant pour les fraudeurs à tromper un internaute sur l'origine d'un message (provenant de sa banque par exemple) afin de lui soutirer des informations confidentielles telles que mots de passe ou numéro de carte bancaire.

Les conséquences d’une atteinte à l’e-réputation :

Ces différentes pratiques sont nuisibles à l'entreprise dans la mesure où celle-ci court le risque de voir sa marque associée à des valeurs non souhaitées ou à des comportements répréhensibles et où la divulgation d'information peut desservir les intérêts de ses clients, actionnaires, fournisseurs, distributeurs et autres partenaires commerciaux.

De nombreuses entreprises ont déjà fait les frais d'un "mauvais buzz", justifié ou non. On citera, par exemple, les sociétés Acadomia (constitution de fichiers nominatifs sans autorisation contenant des commentaires injurieux envers les enseignants et clients), Nestlé (pratiques contestables liées à l’utilisation de l'huile de palme et à la déforestation, dénoncées par Greenpeace) ou, plus récemment, Guerlain (propos racistes tenus par le fondateur).(3)

Les entreprises doivent se préparer à ces types d’atteinte à leur image et développer des règles de gestion de leur e-réputation. 

   1.2 La mise en oeuvre de bonnes pratiques en matière de gestion de l’image de marque de l’entreprise

Anticiper les risques d’atteinte à l’image est indispensable ; l'entreprise doit donc développer une véritable politique de gestion de sa réputation numérique et mettre en oeuvre des bonnes pratiques de gestion de son image de marque :

- La protection des marques et noms de domaine de l'entreprise : en premier lieu, il est recommandé à l'entreprise de protéger sa/ses marques par le droit de la propriété intellectuelle par leur enregistrement auprès de l’INPI, éventuellement sous plusieurs formes (verbale et figurative) et d’étendre la protection à plusieurs pays au cas où l’entreprise aurait une activité commerciale à l’international (marque communautaire ou internationale). Ce mode de protection permettra à l’entreprise de poursuivre en justice les tiers qui reproduiraient sa marque de manière non autorisée et/ou en cas de parasitisme ou de dénigrement.

- La sécurisation du système d'information de l'entreprise : afin d'éviter une fuite d'informations, l'entreprise devra sécuriser son système d'information en déployant : (i) des solutions techniques de sécurisation de ses équipements (pare-feu, antivirus, filtre anti-spam, utilisation de codage pour les données sensibles, y compris la mise à jour régulière de ces dispositifs de sécurité), et (ii) une communication pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre les précautions nécessaires en matière de sécurisation de leurs équipements et comptes (ex: choix de mots de passe complexes).

- L’adoption d’une stratégie de communication et de veille de l'e-réputation : l'entreprise doit communiquer sur sa marque, ses produits et services de manière régulière et adaptée aux nouveaux usages d'internet, par exemple en animant une communauté d'internautes et en dialoguant avec ses clients via la plate-forme internet collaborative de la société, telle la SNCF avec sa rubrique débats (http://debats.sncf.com/), ou via une page entreprise sur Facebook par exemple. La gestion de l'e-réputation sera alors assurée : (i) par la désignation d'un community manager, ayant pour mission d'animer la marque de l'entreprise auprès des différentes communautés d'internautes, et de répondre aux questions, détecter les problèmes ou désamorcer les crises ; (ii) et si nécessaire, par la mise en ligne de conditions d'utilisation détaillant les conditions de modération applicables à la plate-forme collaborative utilisée par l'entreprise.

Par ailleurs, de nouveaux outils et services sont mis à la disposition des entreprises par des sociétés spécialisées dans la gestion de l'e-réputation : logiciels de mesure de visibilité sur les réseaux sociaux, plates-formes permettant aux professionnels de consulter en temps réel les avis, commentaires et notes donnés par les internautes, assurance spécifique contre les atteintes à l'e-réputation, etc. Il est cependant recommandé d'étudier avec attention les contrats proposés par ces prestataires, les services et les engagements étant variables selon les prestataires.(4)

- La sensibilisation des salariés de l'entreprise : les salariés tendent de plus en plus à s'exprimer sur internet à propos de leur employeur. Les entreprises doivent donc instaurer une politique de sensibilisation de leur personnel consistant, d’une part en formations ciblées sur les bonnes pratiques d'utilisation des outils de communication électronique (email, réseaux sociaux et le cas échéant réseau social de l’entreprise), l’exercice de la liberté d'expression et ses limites, d’autre part dans la mise en place d'une charte internet complète et à jour.(5)

- L’information des internautes : enfin, l'image de marque de l’entreprise passe par une information claire sur les caractéristiques essentielles de ses produits et services, ses conditions de vente et de livraison, ses conditions de fourniture de services, les prix pratiqués, la politique relative aux données personnelles, etc. A ce titre, il est recommandé de soigner la rédaction des conditions générales de vente/d'utilisation et mentions légales figurant sur le site web de l'entreprise.

Si, en dépit de ces précautions, l'entreprise est victime d'atteintes à sa réputation sur internet, plusieurs moyens d'action pourront être envisagés pour lutter contre de telles offenses.

2. Comment réagir et se défendre en cas d’atteinte à la réputation numérique de l'entreprise

    2.1 Une riposte graduée en fonction de la gravité de l'atteinte

En cas d'atteinte à son e-réputation, l'entreprise doit définir la stratégie qui sera la plus efficace pour y mettre fin et réagir sans délai afin de ne pas laisser une information nuisible se propager. Cependant, avant toute action, judiciaire ou extra-judiciaire, il sera primordial de conserver la preuve des éléments litigieux, notamment via un constat d’huissier. Plusieurs actions sont envisageables compte tenu du type et de la gravité de l’atteinte à son image. Il est recommandé de faire établir une analyse de la gravité de l’atteinte à l’image et de la stratégie de défense à mettre en oeuvre avec l’aide d’un avocat.

- "Noyer" ou "nettoyer" les contenus indésirables : l'entreprise peut tenter de "noyer" les contenus nuisibles en mettant en ligne de nouveaux contenus correctifs ou informatifs (mais ni erronés, ni trompeurs) sur ses produits et/ou services, les informations litigieuses redescendant dans les pages de résultats des moteurs de recherche.

En outre, bien qu'il ne soit pas toujours possible de faire totalement disparaître du web certaines informations, l'entreprise peut tenter de les faire supprimer, par des moyens techniques divers, tels l'utilisation de dispositifs d'alerte mis en place par la plupart des médias participatifs ou le recours à des sociétés spécialisées dans le "nettoyage" de l'e-réputation. Il est là aussi recommandé d'étudier avec attention les contrats proposés par ces prestataires avant d’avoir recours à ces services.(6)

- Instaurer un dialogue avec l'auteur du trouble : s'il est identifié, l'entreprise peut préférer se rapprocher du/des auteur(s) des contenus portant atteinte à son image de marque, et tenter de négocier le retrait des informations gênantes afin d'éviter ou de limiter tout déficit d'image. Le rôle du community manager peut être déterminant dans le désamorçage du problème.

L'entreprise ou ses dirigeants victimes peuvent également faire jouer leur droit de réponse en ligne, dont l'exercice est soumis, par la loi, à certaines conditions ou faire jouer leur droit d'opposition à la divulgation de données personnelles, permettant de demander la suppression de ces données, soit auprès du webmaster du site internet à l'origine de la publication litigieuse, soit à défaut de suppression dans un délai de deux mois, auprès de la CNIL qui enjoindra au responsable du site web de faire le nécessaire.(7)

- Mettre en oeuvre des procédures alternatives de règlement des litiges : en cas de tentative d’enregistrement d’une marque ou d’un nom de domaine potentiellement contrefaisant ou dénigrant, l'entreprise peut selon les cas, soit lancer une procédure d'opposition, permettant d'empêcher l'enregistrement d'une marque nouvelle qui porterait atteinte à ses droits, soit lancer une procédure de suppression ou de transfert à son profit d'un nom de domaine susceptible de porter atteinte à ses droits. Les conditions de mise en oeuvre de ces procédures varient selon le type de marque ou d'extension du nom de domaine et selon l'office d'enregistrement et de gestion concernés.(8)

- Engager une action judiciaire : enfin, l'entreprise ou son dirigeant peut décider d'agir en justice afin d'obtenir (i) l'identité de l'auteur des propos litigieux, si celui-ci n'est pas identifié, (ii) le retrait du contenu litigieux, ou la désindéxation des pages sur lesquelles ces contenus ont été diffusés, et (iii) la réparation du préjudice subi par la condamnation de l'auteur à des dommages et intérêts. Ces actions, en référé ou au fond, seront dirigées selon les cas, soit directement contre l'auteur des faits au cas où l’entreprise a pu l’identifier, soit contre l'hébergeur du site internet litigieux ou les FAI au cas où ceux-ci n’auraient pas fourni les informations permettant d’identifier l’auteur des contenus ou n’auraient pas retiré les contenus litigieux à la demande de l’entreprise.(9)

Si internet permet de s’exprimer librement, le web n'est pas pour autant une zone de non-droit. Certaines atteintes à la liberté d’expression et à l'e-réputation sont sévèrement réprimées par la loi.

    2.2 Les différents fondements pouvant être invoqués en cas d’action judiciaire contre les auteurs des troubles

Plusieurs fondements juridiques peuvent être invoqués suivant le type d'atteinte subie, en cas d’action judiciaire contre les auteurs des troubles :

- La diffamation et l'injure sont réprimées par la loi du 29 juillet 1881 sur la liberté de la presse et sont notamment punies d'une amende de 12.000€. Les sanctions peuvent atteindre un an d'emprisonnement et 45.000€ d'amende en cas de diffamation à caractère racial. Il convient cependant de noter que ce type d’action est soumis à un délai de prescription court (trois mois).(10)

- Le dénigrement est sanctionné sur le fondement de l'action en concurrence déloyale en application de l'article 1382 du Code civil. Cette action vise à mettre en cause la responsabilité civile de l'auteur des propos litigieux et d'obtenir le versement de dommages et intérêts.(11)

- Le délit d'atteinte à la vie privée est prévu par le Code pénal qui punit d'un an d'emprisonnement et de 45.000€ d'amende, le fait de porter volontairement atteinte à l'intimité de la vie privée d'autrui. La loi réprime le fait d'enregistrer et/ou de diffuser des paroles prononcées à titre confidentiel ou l'image d'une personne se trouvant dans un lieu privé, sans le consentement de la personne concernée (articles 226-1 et 226-2 Code pénal).

- Le non-respect du droit d'opposition est réprimé par la loi Informatique et Libertés qui punit de cinq ans d'emprisonnement et 300.000€ d'amende le fait de procéder à un traitement de données à caractère personnel malgré l’opposition de la personne concernée, lorsque cette opposition est fondée sur des motifs légitimes (article 226-18-1 du Code pénal).

- Les pratiques commerciales trompeuses sont définies par le Code de la consommation et punies de deux ans d'emprisonnement et/ou 37.500€ d'amende (personnes morales : 187.500€ ou 50% des dépenses de publicité ou de la pratique constituant le délit). Ces pratiques consistent à tromper le consommateur et l’amener à prendre une décision commerciale qu’il n’aurait pas prise autrement.(12)

Les pratiques commerciales trompeuses visent ici les faux avis de consommateurs ou les commentaires positifs postés par l’entreprise elle-même, sous l’apparence d’un client satisfait. Ces pratiques font l’objet, depuis début 2011, d’enquêtes spécifiques diligentées par les agents de la DGCCRF. Par ailleurs, l’AFNOR est en train de travailler à un projet de norme visant à renforcer la fiabilité des commentaires déposés par les internautes sur les sites marchands.

- Les atteintes à la marque telles que la reproduction sans autorisation ou l'imitation servile sont sanctionnées au titre de la contrefaçon et punies de trois ans d’emprisonnement et de 300.000€ d’amende (article L.716-10 du Code de la propriété intellectuelle).

- Le délit d'usurpation d'identité numérique est défini par la LOPPSI 2 et passible d'un an d'emprisonnement et 15.000€ d’amende. Ce nouveau délit permet de sanctionner, par exemple, les actes de "phishing".(13)

Enfin, cet arsenal répressif pourrait bientôt se voir renforcé par l'instauration, (i) d'un droit à l'oubli numérique, facilitant la suppression des données publiées et prévu dans le projet de règlement communautaire sur les données personnelles et (ii) d'un délit d'atteinte au secret des affaires, punissant de trois ans d'emprisonnement et 375.000€ d'amende, la divulgation d'informations de nature commerciale, industrielle, scientifique, etc. compromettant gravement les intérêts d'une entreprise et prévu par une proposition de loi sur la protection des informations économiques.(14)

* * * * * * * * * * *

(1) Condamnation des sociétés Expedia et autres, à payer près de 430.000€ de dommages et intérêts au Syndicat national des hôteliers, restaurateurs, cafetiers et traiteurs (Synhorcat) (Tribunal com. Paris, 15e ch., 4/10/2011) ; et voir l’article : "Orangina aurait trafiqué sa page Facebook avec de faux profils", Le Journal du Net (15/02/2012).
(2) L'article 9 al.1 du Code civil dispose que "Chacun a droit au respect à sa vie privée". Cette disposition permet à toute personne de s'opposer à la divulgation d'informations concernant, notamment, la vie conjugale, la vie familiale, la santé, la sexualité ou encore le patrimoine du dirigeant de l'entreprise. En vertu du droit au respect de la vie privée, la jurisprudence a créé le droit à l'image afin de permettre à une personne, célèbre ou non, de s'opposer à la captation, la fixation ou à la diffusion de son image, sans son autorisation expresse et préalable.
(3) Voir les articles publiés sur Le Journal du Net : "L'affaire Nestlé: autoritarisme, mépris, absence" et "Acadomia engage le dialogue....mais reste muette" (29/04/2011).
(4) Voir les articles publiés sur le site Les Echos entrepreneur : "Le nouveau filon de l'e-réputation" (18/02/2011) et sur le site Capital.fr : "De nouvelles assurances pour protéger votre e-réputation" (31/01/2012).
(5) Voir nos articles : "La charte technologique : un document essentiel pour la protection des réseaux et des données de l'entreprise" (09/2008) et "La charte informatique face à l'évolution des technologies : l'outil indispensable pour définir les règles du jeu" (12/2011) (accessible sur notre site web: www.dwavocat.com).
(6) Voir article publié sur le Blog de l'agence de communication digitale 50A (www.50a.fr) : "Nettoyeur pour 9,90€: une e-réputation au rabais?" (30/11/2011).
(7) Article 6-IV de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) et Décret n°2007-1527 du 24 octobre 2007 ; Loi n°78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés, et notamment article 38 ; Fiche pratique CNIL : "l'e-réputation en questions" (24/08/2011).
(8) Voir les articles L.45 et s. du Code des postes et des communications électroniques et la procédure "Syreli" devant l'AFNIC.
(9) Voir l'article 6 de la LCEN et le Décret n°2011-219 du 25 février 2011.
(10) Sur la diffamation, voir jugement du TGI de Nanterre du 6/01/2011 David Douillé c/ Bakchich et autres et jugement du TGI de Paris du 8/09/2010, M. X c/ Google inc., Eric S., et Google France
(11) Sur le dénigrement, voir jugement du TGI de Béthune du 14/12/2010 société Kemenn c/ Eric N.
(12) Voir les articles L.121-1, L.121-6 et L213-1 du Code de la consommation et l’art. 131-38 du Code pénal.
(13) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 du Code pénal.
(14) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012 ; Proposition de loi relative à la protection des informations économiques du 13 janvier 2012.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2012